- Corona-Krise beflügelt das „Geschäft“ der Cyber-Kriminellen
- Mitarbeiter im Homeoffice anfälliger für Phishing-Attacken
- Krankenhäuser und andere Gesundheitseinrichtungen besonders gefährdet
Während die Wirtschaft unter den Folgen der Corona-Krise leidet, haben Cyber-Kriminelle Konjunktur. Von Januar bis März 2020 wurden über 16.000 Domains registriert, die einen Bezug zum Thema Corona haben. Diese sind zu 50 Prozent häufiger betrügerisch als andere, zeigen Studien*. „Hacker sehen in der Pandemie eine einmalige Gelegenheit, geschäftlich zu expandieren“, sagt Markus Schaffrin, Geschäftsbereichsleiter Mitglieder Services und Sicherheitsexperte im eco – Verband der Internetwirtschaft e. V. Die Domains werden häufig genutzt, um darüber Phishing-Attacken zu starten. Indem Mitarbeiter auf einen infizierten Link oder Anhang in einer E-Mail klicken, erhalten die Hacker Zugang zu den Unternehmenssystemen. „Sich auf Cyber-Angriffe vorzubereiten und auch im Homeoffice die Cyber-Hygiene aufrecht zu erhalten ist zurzeit ebenso wichtig wie regelmäßiges Händewaschen“, sagt Schaffrin.
Bis zu dreimal höhere Phishing-Klickraten
Alle Unternehmen sind gefährdet, ebenso Gesundheitseinrichtungen und Krankenhäuser. Cyber-Kriminelle gehen skrupellos vor und suchen überall dort nach Schwachstellen, wo aufgrund der aktuellen Situation der Stresslevel besonders hoch ist. Die Krise spielt den Angreifern dabei in die Hände. Diese nutzen alle zur Verfügung stehenden Tools der Psychologie, um das kritische Denken der Nutzer auszuschalten. Sie setzen auf Neugier, Angst und Hilfsbereitschaft und bringen so Anwender dazu, auf Links oder Anhänge in Phishing-E-Mails zu klicken. „Nutzern fällt es im Moment schwerer als sonst, Nachrichten zu verifizieren“, sagt Dr. Niklas Hellemann, Geschäftsführer der SoSafe GmbH und Mitglied der Kompetenzgruppe Sicherheit im eco – Verband der Internetwirtschaft e.V.
Menschen sind im Homeoffice ohnehin besonders anfällig für Phishing. „Die Klickrate ist dort bis zu dreimal höher, wie unsere Zahlen aus simulierten Phishing-Angriffen zeigen“, sagt Hellemann. Der Flurfunk sensibilisiert die Mitarbeiter üblicherweise. Die Menschen tauschen sich im Office unmittelbar zu laufenden Attacken aus oder fragen einen Kollegen, wenn sie eine E-Mail nicht einordnen können. „Wir sehen auch einen enormen Anstieg bei Spear-Phishing, sprich bei den gezielten Angriffen auf eine einzelne Person. Es lohnt sich zurzeit besonders, Zeit und Ressourcen aufzuwenden um Mitarbeiter für das Thema zu sensibilisieren“, so Hellemann weiter.
Mitarbeiter nachhaltig sensibilisieren
Die eigenen Prozesse und Strukturen so anzupassen, dass Angriffe ins Leere laufen, ist die beste Verteidigung. Dabei hilft ein wohlwollendes und nicht zu hierarchisches Miteinander innerhalb einer Organisation und natürlich Awareness. Es gibt immer für die Mitarbeiter erkennbare Hinweise auf einen möglichen Angriff. Nach einer Schulung zum Thema beispielsweise achten die Mitarbeiter sehr darauf und die Klickraten auf Phishing-E-Mails gehen bis zu 50 Prozent zurück. Schwieriger ist es, Mitarbeiter dauerhaft zu sensibilisieren. Dafür gibt es verschiedene Möglichkeiten, vom inzidentellen Lernen über laufende Phishing-Simulationen bis zu Gamification-Ansätzen. Damit werden die Mitarbeiter zu einer menschlichen Firewall, die auch in Stresssituationen und Krisenzeiten den Angriffen der Cyber-Kriminellen standhält.
*Quelle: Checkpoint Research